您的LinkedIn收件箱中可能包含惡意軟件
當前的不穩定經濟狀況使相當多的人尋找新工作。這些人中有很多人正在使用LinkedIn尋求新的工作機會,但是一群壞演員正在盡最大努力使找工作變得困難。
與eSentire一起工作的安全研究人員發現了一個新的,精心製作的惡意軟件活動。黑客使用的惡意軟件稱為“ more_eggs”,是一種無文件的後門程序,通過發送給受害者的LinkedIn收件箱的可信網絡釣魚消息進行分發。
我們之前曾報導過該活動,並提到與眾不同的是,不良行為者為了使他們的網絡釣魚誘餌看起來盡可能可信而付出了巨大的努力。郵件中包含惡意存檔文件,通常為zip,其名稱與受害人的工作專業名稱完全相同,但附加了“職位”一詞,如eSentire在其原始公告第二天發布的完整報告中所報告的那樣。網絡釣魚活動。
一旦以該活動為目標的LinkedIn用戶打開了偽造的工作機會,他們就會啟動無文件後門more_eggs的靜默安裝。後門是一個重大威脅,因為它允許活動後的威脅參與者在受害者的系統上下載其他惡意文件並控制受感染的系統。
eSentire專家將惡意軟件背後的威脅參與者列為一個名為Golden Chickens的實體,並解釋說more_eggs惡意軟件並非僅由其操作,而是作為服務包出售給了其他想要使用它的黑客。 “惡意軟件即服務”不是一個新概念。
以前,我們已經看到威脅參與者將勒索軟件和其他類型的惡意軟件作為服務進行分發,或者是針對前期付款或針對部署了該惡意軟件的第三方黑客的利潤削減。
More_eggs是一個重大威脅,因為它劫持並使用Windows進程自行部署。這些合法進程具有使用腳本執行的功能。由於該惡意軟件在受害人的系統上保持的低調,無文件且濫用合法的系統進程,因此吸引了臭名昭著的高級持久威脅組(包括Cobalt Group,FIN6和Evilnum)的注意。
eSentire已發布了許多與more_eggs惡意軟件有關的威脅指標。最值得注意的是,他們列出了惡意zip文件的文件哈希以及惡意軟件使用的下載服務器。
伺服器:ec2-13-58-146-177.us-east-2.compute.amazonaws [。] com
More_eggs zip文件哈希:776c355a89d32157857113a49e516e74
大型威脅行為者對more_eggs惡意軟件表現出興趣這一事實表明,針對網絡釣魚的高度針對性的方法(有時稱為魚叉式網絡釣魚)似乎正在為黑客奏效。